การบำรุงรักษา mTLS ของ Apigee

หน้านี้อธิบายงานบำรุงรักษา mTLS ของ Apigee ที่ต้องทำเป็นประจำ

การหมุนเวียนใบรับรองในเครื่อง

ใบรับรองในเครื่องซึ่งติดตั้งไว้ในแต่ละโฮสต์ Apigee แต่ละรายการจะต้องแทนที่ด้วยใบรับรองใหม่ทุกปี ซึ่งเรียกว่าการหมุนเวียนใบรับรอง การหมุนเวียนใบรับรองทำได้ 2 วิธี ขึ้นอยู่กับว่าคุณใช้ผู้ออกใบรับรองที่กำหนดเอง หรือใบรับรองที่ติดตั้งโดยกงสุล

การหมุนเวียนใบรับรองในเครื่องโดยไม่มีผู้ออกใบรับรองที่กำหนดเอง (CA)

วิธีที่ง่ายที่สุดในการหมุนเวียนใบรับรองโดยไม่ใช้ CA ที่กำหนดเองคือ ถอนการติดตั้งแล้ว ติดตั้งอีกครั้ง apigee-mtls การดำเนินการนี้จะนำใบรับรองเก่าทั้งหมดออกและสร้างใบรับรองใหม่ไว้ในเครื่อง ซึ่งทำได้โดยมีช่วงพักน้อยที่สุดด้วยการใช้คำสั่งต่อไปนี้ในแต่ละโฮสต์ ทีละคำสั่ง

หมายเหตุ: โดยสมมติว่ามีไฟล์ silent.conf เดียวกันกับที่ใช้สำหรับการติดตั้งครั้งแรก

1. หยุดคอมโพเนนต์หลักของ Apigee ทั้งหมด ดังนี้

   /opt/apigee/apigee-service/bin/apigee-all stop

   ดู เริ่ม/หยุด/ตรวจสอบคอมโพเนนต์ทั้งหมด
2. หยุด apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

3. ถอนการติดตั้ง apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall

4. ติดตั้ง apigee-mtls อีกครั้ง:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls install

5. เรียกใช้ apigee-mtls setup:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f /opt/silent.conf

6. รีสตาร์ท apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. รีสตาร์ทคอมโพเนนต์หลักของ Apigee ทั้งหมด ดังนี้

   /opt/apigee/apigee-service/bin/apigee-all start

   โปรดดูหัวข้อ เริ่ม/หยุด/ตรวจสอบคอมโพเนนต์ทั้งหมด

การหมุนเวียนใบรับรองในเครื่องกับผู้ออกใบรับรองที่กำหนดเอง (CA)

หากต้องการหมุนเวียนใบรับรองในเครื่องด้วย CA ที่กำหนดเอง ให้ทำตามขั้นตอนต่อไปนี้

1. ทำตามขั้นตอนในหัวข้อใช้ใบรับรองที่กำหนดเองเพื่อสร้างใบรับรองใหม่ที่จะใช้
2. หยุดคอมโพเนนต์หลักของ Apigee ทั้งหมด ดังนี้

   /opt/apigee/apigee-service/bin/apigee-all stop

   ดู เริ่ม/หยุด/ตรวจสอบคอมโพเนนต์ทั้งหมด
3. หยุด apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls stop

4. นำไฟล์ใบรับรองเก่าในเครื่องออก:

   rm -f /opt/apigee/apigee-mtls/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/certs/local_key.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   rm -f /opt/apigee/apigee-mtls/source/certs/local_key.pem
   rm -rf /opt/apigee/data/apigee-mtls

5. คัดลอกคู่ใบรับรอง/คีย์ใหม่ที่สร้างขึ้นในขั้นตอนแรกไปยังตำแหน่งต่อไปนี้ แล้วอัปเดตสิทธิ์:

   cp ${new_cert} /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/certs/local_cert.pem
   
   cp ${new_cert} /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   cp ${new_key} /opt/apigee/apigee-mtls/source/certs/local_key.pem
   
   chmod \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem
   
   chown \
     --reference=/opt/apigee/apigee-mtls/certs/ca_cert.pem \
     /opt/apigee/apigee-mtls/source/certs/local_cert.pem

6. รีสตาร์ท apigee-mtls:

   /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

7. รีสตาร์ทคอมโพเนนต์หลักของ Apigee ทั้งหมด ดังนี้

   /opt/apigee/apigee-service/bin/apigee-all start

   โปรดดูหัวข้อ เริ่ม/หยุด/ตรวจสอบคอมโพเนนต์ทั้งหมด